TL;DR

  • クラウドの設定変更には時間がかかる場合があります。設定変更が反映されることを前提に後続の作業を行う場合は、最低でも2日待って後続の作業をしたほうが良いです。

経緯

Google Cloud Identity FreeでWorkspaceと最初の管理者アカウント(ここではuser@example.comとする)を作成しました。次にadmin@example.comアカウントを作成し、Super Admin権限を付与しました。さらに最初に作成したuser@example.comのSuper Admin権限を削除しました。user@example.comアカウントのSuper Admin権限をadmin@example.comに移動した形です。

次に、Azure ADをIdPとしたSSOを行いました。user@example.comアカウントでうまくログインできないため、Google側の設定を見ようと思い、admin.google.comadmin@example.comでログインしようとすると、SSO先のAzureログイン画面に転送されてしまい、ログインできません。当然user@example.comも同様です。つみました…

最初、SSOの設定は既定で全アカウントに適用されるのかと思いました。が、だとしたらこのような事例が頻発するはずで、実際Googleのドキュメントを見ると、管理者アカウントはSSOから除外されるとありました。

となると、最初に行った管理者権限の移動が反映されていない可能性がありそう。権限を移動してから12時間程度だったため、クラウドの設定は1日¥見ておいたほうが良いとするとありうる話。念のためサポートから問い合わせを入れましたが無料での利用のため、期待薄。

設定から27時間たったあたりで再度admin.google.comにログインしようとすると、SSOに転送されずにろぐいんできました。

クラウドの設定変更は最大1日程度、とは聞いていましたがたいてい遅くとも1時間以内には反映されるため甘く見て失敗しました。設定の反映が遅延されることを考慮し、遅延するとうまく行かない後続の作業は2日は開けて作業したほうが良さそうです。